一點資訊：一場關于16000臺主機的安全保衛戰

一點資訊是國內知名的內容聚合平臺，擁有超過5億用戶，月活躍用戶數高達2億，其中僅沸點視頻（一點資訊旗下短視頻品牌）就擁有數千萬粉絲，原創視頻總播放量超過500億次，單條閱讀量最高達13億次。

一點資訊的成功離不開原創、優質的內容，更離不開分布在三大公有云與三個自建數據中心包括服務器、云主機與容器主機的16000余臺主機，這些主機支撐了包括沸點視頻在內的各業務系統7x24小時穩定運行。

沒有主機安全就沒有業務安全，今年3月，一點資訊開始組建新的網絡安全團隊，7月新團隊剛組建完成就接到通知，將參加市局在8月組織的網絡安全攻防演練。這意味著，新團隊必須要在1個月內構建一個擁有較高水準的網絡安全防護體系。

幸福一點 “煩惱”的陳喬

陳喬是微步的一名網絡安全工程師，歷經各種“疑難雜癥”項目，但一點資訊的方案顯然將再次刷新了陳喬的履歷。根據一點資訊的現實需求，陳喬的方案應具備下面兩種能力：

·在攻防演練方面，攻防對抗已經異常激烈，0day/Nday、內存馬、網絡釣魚……成為最“流行”的攻擊方式，這意味著傳統“被動防御”方式近乎失效。這套方案必須能有效應對新型威脅，在各個攻擊敞口上做到實時發現、檢測與響應；

·這套新網絡安全防護體系必須快速上線，爭取10天內部署完畢。

經與一點資訊安全團隊深入溝通后，陳喬規劃出滿足一點資訊需求的網絡安全防護體系：基于微步主機威脅發現與響應平臺OneEDR、威脅感知平臺TDP、辦公網安全服務OneDNS、HFish蜜罐產品構建一套覆蓋“云端+網絡流量+主機”的一體化網絡安全縱深防御體系。

一點資訊 “云網端”三位一體縱深防御架構，針對辦公網、私有云數據中心及公有云不同特點而采用具有不同安全能力的微步產品形成組合解決方案

構成這套網絡安全縱深防御體系的不同產品具備不同緯度的安全能力，且能聯動響應，并提供覆蓋事前預防、事中響應處置、事后溯源全流程的安全閉環能力。

有效覆蓋不同攻擊方式。網絡釣魚與0day漏洞利用是最常用，成功率也最高的攻擊方式。網絡釣魚主要發生在辦公網場景，OneDNS以SaaS化方式提供互聯網安全接入服務，可以有效防范網絡釣魚、挖礦、勒索及APT攻擊；對于0day，TDP與OneEDR另辟蹊徑，利用情報、流量、文件與攻擊行為特征檢測相結合，可有效檢出利用0day發起的攻擊。

聯動實現一站式響應。在這一縱深防御體系中，TDP可與OneDNS、HFish蜜罐與OneEDR聯動響應，尤其是TDP與OneEDR的聯動，實現了流量行為、主機行為檢測的整合，利用OneEDR中的事件聚合與威脅圖等專利技術，不僅能更加精準地發現攻擊行為，還能還原整個攻擊鏈路，讓定位處置更加簡單便捷。

Webshell是企業最為“頭疼”的攻擊方式之一，通過TDP檢出的流量行為與OneEDR的主機行為相互印證，告警更精準，并還原整個攻擊鏈路

安全閉環能力。TDP與OneEDR都具備安全閉環能力，作為主機的最后一道屏障，OneEDR集成了尤為強大的功能。不僅能在事前快速發現開放端口、弱密碼及不當配置等容易被黑客利用的風險點；在事中，內部集成12款自研引擎從不同緯度檢測，再結合事件聚合綜合評判來精準告警；并將日志、告警信息與威脅圖技術相結合，完整展現全部攻擊鏈路，自動溯源，幫助安全團隊快速定位風險點，避免被重復攻擊。

輕量快速部署能力。這一體系中的產品均具備快速部署能力，比如辦公網安全防護，只需將本地DNS指向OneDNS即可；TDP針對網絡流量進行檢測，通過旁路部署在網絡出口，無需更改網絡架構；HFish對資源要求極低，可按需部署在數據中心任意位置，以進一步提升威脅感知能力；OneEDR用于安裝在主機上的Agent也非常輕量，可以批量部署。

但不管Agent有多輕量，上萬臺部署規模，都是不小的挑戰。時間緊，部署規模大，還必須優先保證一點資訊業務平穩運行，而這是陳喬在準備實施階段面對的最大“煩惱”。

進擊的陳喬，一點沒“煩惱”

一點資訊的業務特點決定了業務對主機性能的需求極難預測：也許下一個視頻或文章就會成為“爆款”，爆款所需的性能可能是平常業務的數十倍。除此之外，還有核心數據庫系統、離線分析業務、推薦系統……林林總總近百個系統，均由各類型的服務器、虛機、云主機及容器主機支撐，總計超過16000余臺，主機類型多樣、架構復雜，也進一步增加了Agent部署難度。

在一點資訊CEO親自“掛帥”下，新安全團隊加班加點摸排互聯網資產，并將16000余臺主機按重要程度、應用特點以及被攻擊風險等因素分為了四個不同優先級，得益于OneEDR Agent模塊化設計理念，在OneEDR管理控制臺中可根據不同優先級主機選擇啟用/關閉一個或多個功能模塊。

陳喬決定率先對優先級最高的數百臺主機“動手”。這些主機特點非常鮮明：承載核心業務/數據庫應用，大多屬于高并發應用，對響應時間極其敏感。根據這些特點，陳喬選擇關閉了Agent上的資產清點、系統完整性校驗以及文件檢測等功能模塊，并修改MD5校驗方式，這樣可進一步降低資源占用，但利用攻擊行為特征等檢測方式，主機安全等級依然保持在較高水平。

在OneEDR管理控制臺中可按業務場景為Agent設置靈活的檢測策略，通過關閉部分資源占用較多的功能來避免對業務造成影響

安裝Agent后經24小時的持續監控，主機應用運行正常，除預先關閉的功能模塊之外，其他功能模塊正常運行，Agent資源占用極低，都維持在1%以下。最硬的“骨頭”啃掉了，陳喬深深地舒了一口氣。隨后，1000臺主機批量部署、2000臺、3000臺……整個部署過程有如神助，在8天內就完成了16000余臺主機部署，比規定的時間還提前了兩天。

只要幸福，不要煩惱

除了針對數據、規則運營的優化之外，一點資訊還利用OneEDR的資產清點來對自身互聯網資產進行梳理，以便在遭遇攻擊時能快速定位并責任落實到人，同時利用風險發現功能來找出潛在可能被網絡攻擊者利用的弱密碼、開放端口及不當配置等風險點。在這一過程中，僅弱密碼這一項，OneEDR就在SSH與數據庫等服務上發現了4000多組弱密碼，且OneEDR還能持續監測弱密碼整改情況。經整改后，有效降低了被攻擊者利用的幾率。

除此之外，在持續一周的攻防演練準備階段，還發生了一段小插曲：在日常監測中，OneEDR突然發出失陷主機告警，微步安服人員在確認告警后，立即使用OneEDR溯源功能來定位具體的目錄文件。隨后，OneEDR陸續發現了30多臺失陷主機，其中某臺失陷主機在2019年就已被植入偽裝成正常應用的木馬后門程序，三年間還經過多次更新，試圖偽裝成不同應用繼續潛伏，但最終未能逃過OneEDR的“火眼金睛”。

在攻防演練準備階段，OneEDR在某臺業務主機上檢測到木馬后面程序，并定位到具體目錄、文件

經過演練前準備階段的攻擊面梳理和收斂。在攻防演練期間，在面對各種網絡攻擊時，這套“云網端“三位一體縱深防御體系與微步提供的情報相結合，經受了各種網絡攻擊手段的考驗，均能快速發現威脅并及時阻斷。在歷時半月的攻防演練期間，一點資訊真正做到了0失分，讓靶標穩如泰山，且業務平穩有序運行。

來源：IT時代網

IT時代網(關注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創文章版權所有，未經授權，轉載必究。
創客100創投基金成立于2015年，直通硅谷，專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。

相關文章

一點資訊：一場關于16000臺主機的安全保衛戰

【人事】吳晨光辭任一點資訊總編輯

一點資訊宣布完成重大資本運作 涉資近5億美元

【周三晨報】一點資訊內斗迷局！